本刊記者 | 于光媚

社交網(wǎng)絡(luò)成安全“重災(zāi)區(qū)” 用戶需加強(qiáng)自主防護(hù)

本刊記者 | 于光媚

近期隱私泄露、數(shù)據(jù)漏洞、網(wǎng)絡(luò)攻擊等信息安全事件頻發(fā)，社交網(wǎng)絡(luò)已經(jīng)成為屢受黑客攻擊的“重災(zāi)區(qū)”，個(gè)人和企業(yè)用戶因此有了信息保護(hù)的需求。那么在社交網(wǎng)絡(luò)等新網(wǎng)絡(luò)環(huán)境下，用戶究竟該如何進(jìn)行信息安全防護(hù)？

社交網(wǎng)絡(luò)真的安全嗎？

2014年3月，國(guó)內(nèi)的漏洞通報(bào)平臺(tái)烏云曝光了騰訊QQ的一個(gè)非常嚴(yán)重的漏洞，烏云對(duì)此漏洞的具體描述是“騰訊某接口未嚴(yán)格校驗(yàn)訪問(wèn)來(lái)源IP，導(dǎo)致ClientKEY訪問(wèn)保護(hù)被繞過(guò)”。ClientKEY對(duì)于QQ整體的業(yè)務(wù)系統(tǒng)而言，是一個(gè)全局的訪問(wèn)令牌。只要獲取用戶的ClientKEY，就能訪問(wèn)所有騰訊旗下的業(yè)務(wù)系統(tǒng)。換句話說(shuō)，就算你的QQ沒(méi)有被盜，但只要黑客成功截獲了你的ClientKEY，就能隨意訪問(wèn)你的QQ郵箱、QQ空間等。

類似的漏洞事件在互聯(lián)網(wǎng)領(lǐng)域?qū)乙?jiàn)不鮮，大多數(shù)人樂(lè)于在社交網(wǎng)絡(luò)上表達(dá)和分享自己的想法，同時(shí)也希望借助社交網(wǎng)絡(luò)獲取更廣泛的信息。然而在這種數(shù)據(jù)分享的背后，也潛藏著隱私泄露的危機(jī)。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的“2013年互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告”顯示，移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量繼續(xù)大幅增長(zhǎng)，移動(dòng)互聯(lián)網(wǎng)生態(tài)系統(tǒng)環(huán)境呈惡化趨勢(shì)。特別注意的是，社交網(wǎng)絡(luò)將成為黑客攻擊和網(wǎng)絡(luò)犯罪的新途徑。

梆梆安全副總裁劉明君表示，目前社交應(yīng)用最主要的風(fēng)險(xiǎn)是用戶層面的安全風(fēng)險(xiǎn)，包括用戶的賬戶和私密信息泄露、金融交易信息泄露等，用戶還面臨被騷擾甚至可能的人身風(fēng)險(xiǎn)問(wèn)題。當(dāng)然，企業(yè)也可能因?yàn)樯缃粦?yīng)用而導(dǎo)致重要信息的泄露?！安簧俅蠊疽验_始對(duì)企業(yè)員工的手機(jī)進(jìn)行安全管理，目的就是防止泄密。”

劉明君認(rèn)為，這類安全事故頻發(fā)，一方面是由于社交應(yīng)用軟件自身就有代碼缺陷和邏輯缺陷，容易會(huì)被其他人利用。其次是安全防護(hù)做得不夠，不少社交軟件重在開發(fā)和運(yùn)營(yíng)，安全方面的人才偏少。

此外，目前國(guó)內(nèi)安全事故的追責(zé)體系仍不完善。在國(guó)外，大的安全事故可能會(huì)導(dǎo)致公司遭受滅頂之災(zāi)或者政府嚴(yán)厲處罰。但在國(guó)內(nèi)，許多安全信息泄露僅僅是在公司媒體層面被披露，并沒(méi)有受到訴訟或監(jiān)管處罰?！昂?jiǎn)而言之，就是安全事故的風(fēng)險(xiǎn)成本低?！眲⒚骶龔?qiáng)調(diào)。

最好的防護(hù)是什么？

信息安全已經(jīng)成為社交網(wǎng)絡(luò)發(fā)展的重要問(wèn)題，用戶急需一顆數(shù)據(jù)安全的“定心丸”。盡管社交應(yīng)用服務(wù)商一再表示非常重視用戶隱私安全，也在隱私保護(hù)方面有所動(dòng)作，但這遠(yuǎn)遠(yuǎn)不能消除用戶的安全擔(dān)憂。

劉明君建議，個(gè)人用戶必須要有安全防范意識(shí)。“目前安全風(fēng)險(xiǎn)主要集中在手機(jī)上，因此首先要確保設(shè)備安全，此外要選擇安全的下載渠道，并安裝一些安全軟件來(lái)保護(hù)手機(jī)。如果綁定了銀行卡，要盡量選擇社交軟件提供的安全驗(yàn)證機(jī)制。”企業(yè)則要從安全制度和安全技術(shù)兩方面采取措施，目前主要安全技術(shù)包括MDN.MAM等，這些都是對(duì)企業(yè)內(nèi)部員工的設(shè)備進(jìn)行安全策略管控。

當(dāng)然，更重要的是社交軟件服務(wù)企業(yè)要對(duì)App客戶端進(jìn)行安全加固，保障自身安全，防止漏洞被分析?！叭绻髽I(yè)本身都不安全，用戶做再多安全防范也還是有很大風(fēng)險(xiǎn)的?！?/p>